最近,“5.38億微博用戶綁定手機號數據在暗網被兜售”的消息沸沸揚揚,很多人質疑其真實性的同時安全圈專業人士和微博安全總監紛紛回應,交易的數據屬實。
據悉,在這被洩露的5.38億用戶綁定手機號數據中,有1.72億帳號是有的基本信息的。帳號基本信息包括暱稱、頭像、粉絲和所在地等,綁定手機收據包括用戶ID和手機號。這些數據在暗網售價1388美元。
此事件中,有兩大具有爭議的點:微博不當的保護和暗網交易。
微博保護不當?
對於數據洩露一事,微博安全總監回應稱,是2019年通訊錄上傳接口被暴力匹配導致的,微博內部此前發現這一情況後已經在第一時間報警,移交警方處理。
事實上,在暗網上的賣家在這則數據商品的描述中已然表明了抓取時間:2019年中。此外,賣家還給出了400條綁定手機號的測試數據和1500條帳號基本信息的測試數據。
除了微博安全總監的回應,微博CEO王高飛還稱此事與2014年以前網易撞庫事件有關。
不過,隨即就有用戶用自己查到了2018年10月底註冊的微博帳號來反駁,指出此次洩露或許並非是由於接口遭暴力匹配導致的,也有可能是因為這些數據直接從數據中導出了(脫庫)。
後來,發出相關言論的博主都已或刪除或限流。
脫庫的嚴重程度可比接口遭暴力匹配大多了,微博安全總監隨即便否認了此事,聲稱在暗網交易中一些關鍵字段並沒有被放出來。
實際上,通訊錄匹配本就是很多社交軟件都有的功能,如若所有的軟件都像微博一樣輕易就能被暴力匹配,那必然是要大亂。
通過暴力匹配來獲取用戶數據其實可以被視為變相的爬蟲。而企業也有防範和監控這些數據的洩露風險的義務,和監控數據爬蟲是一個道理。
顯然,微博很可能並沒有對這個接口做監控和風控,所以由於微博的疏忽用戶個人信息才面臨著洩露的風險。
一時間,很多用戶都在質疑微博保護用戶信息不力。微博安全總監無奈表示微博內部發現異常後立即堵住了口子並且第一時間報了警,此後積極配合了警方的調查。
暗網
很遺憾,暗網一直以來的監管難度都非常大,雖然警方一直在尋求打擊的時機,但並至今並沒有成功。所以打擊暗網的黑灰產業一事還得靜待時機,目前問責主體還是微博。
閱讀更多 全域消費關注 的文章
